The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.11.2017 12:26  GitHub добавил средства информирования об уязвимостях в репозиториях

GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта о состоянии безопасности открытого кода, составленного с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаев выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек выявленные уязвимости так и не были устранены. Только в 16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.

  1. Главная ссылка к новости (https://github.com/blog/2470-i...)
  2. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  3. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  4. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  5. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  6. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: npm, github, rubygems, pypi
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 13:16, 17/11/2017 [ответить] [смотреть все]
  • +7 +/
    npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась
     
     
  • 2.2, Аноним, 13:38, 17/11/2017 [^] [ответить] [смотреть все]
  • +2 +/
    а гемзы это какая помойка? а пупи? а мавен?
     
     
  • 3.3, Борщдрайвен бигдата, 13:44, 17/11/2017 [^] [ответить] [смотреть все]
  • +5 +/
    MVN не помойка, а палеонтологический музей.
    Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.
     
  • 1.11, бедный буратино, 16:29, 17/11/2017 [ответить] [смотреть все]
  • +5 +/
    Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.
     
  • 1.12, Аноним, 23:46, 17/11/2017 [ответить] [смотреть все]
  • +/
    а для питона и пыхи как не было, так и нет.
     
  • 1.13, qsdg, 05:08, 18/11/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor